去年可以被称为安全漏洞之年。
对攻击和信息泄漏的报导成为世界各地的头条新闻,许多公司从中“学到”了他们的第一堂课:一次广为人知的信息泄漏将对他们的品牌声誉造成严重损害。在所受到的教训中,最大的教训可能是,安全性需要成为任何在线业务的首要考虑因素 - 无论规模大小。
事实上,小公司的损失最大,与世界 500 强的头一半企业相比,他们通常缺乏专门的安全人员和经验。虽然对小公司的攻击行为可能不会成为头条新闻 - 就算是已经传得人尽皆知了 - 但运营中的大量小型电子商务网站非常诱人,黑客自然不会放过它们。
最近的一项研究发现,不仅互联网上的机器人数量(抓取和扫描网站的自动化应用程序)超过了人类访问者,而且实际上小型网站被自动机器人访问的比例更是不成比例地高 - 日访问量少于 1000 的网站会受到最高 80% 的流量“光顾”。凭借恶意机器人探测网站的漏洞,有效地自动化了网络黑客的攻击。
自动化的兴起扩大了攻击者的攻击范围,使小型企业变得与 Home Depot 或 Target 一样脆弱。如今,所有在线业务都面临风险。为了保护你的公司和顾客免遭安全攻击,您无需成为一家世界 500 强企业。下面是任何企业主可以采取的简单措施,以便阻止攻击并防止资料泄漏。
相关文章:您的公司数据在云中是否安全?(信息图表)
1. 了解差距
漏洞就是:可以被用来令攻击者渗透系统的弱点。幸运的是,其中许多漏洞知名度很高,且易于修补。更具体而言,所有电子商务企业的所有者都应该注意两个弱点:SQL 注入攻击和跨站点脚本攻击(XXS)。
基于电子商务应用程序的构建方式,许多站点容易受到 SQL 注入攻击。犯罪分子使用 SQL 查询探测 Web 应用程序,以尝试从电子商务数据库中提取信息。
当应用程序从用户获得不受信任的数据,并且没有对数据进行正确地验证或处理以确保该数据不是恶意数据时,就直接将其发送到 Web 浏览器,就可能会发生跨站点脚本攻击。XSS 可用于盗取用户帐户,修改网站内容或在不知情的情况下将访问者重定向到恶意网站。
由于对这些漏洞的攻击是针对 Web 应用程序的,因此 Web 应用程序防火墙(WAF)可以非常有效地阻止它们。
2. 拒绝服务
一些犯罪分子采取的则是蛮力法,让网站承受大量的流量致使宕机,这称为分布式拒绝服务(DDoS)攻击。对于电子商务网站,DDoS 攻击对收入有着直接的影响。一次 DDoS 的损失可能超过 40 万美元,更有些消息来源指出成本高达每小时 40000 美元。攻击可能持续仅仅数小时,也可能几天,而任何企业都无法承受 DDoS 攻击的风险。
这些攻击经常伴随着勒索声明,需要缴纳资金来停止 DDoS 攻击;而其它攻击可能只是一个烟幕弹,让黑客有时间探测网站的漏洞。
在任何一种情况下,电子商务网站都应该购买 DDoS 保护,以便在攻击影响其基础业务之前检测并减轻攻击带来的影响,而不是成为敲诈勒索者的牺牲品。DDoS 保护通常可以从托管服务提供商处获得,因此小型企业可以向其网站托管商咨询相关事项。
3. 双因素身份验证
被盗或被破解的用户凭据是导致信息泄漏的常见原因。eBay 报道称,一位网络攻击者获得了少量员工的登录凭据,这会允许攻击者未经授权访问 eBay 的企业网络。犯罪分子使用社会工程学,网络钓鱼,恶意软件和其他手段来猜测或截获用户名和密码。或者,攻击者针对他们在社交网络上发现的管理员,使用鱼叉式网络钓鱼攻击来获取敏感数据。
相关:为什么您的密码会是黑客眼中的诱饵(信息图)
防范此问题就和实现双因素身份验证一样简单。双因素的第二个因素通常是通过应用程序生成的代码或在用户拥有的手机上的通过短信接收的代码。双因素身份验证已经存在了一段时间,但正如更好的智能手机相机开辟了一个全新的照片编辑和共享应用程序市场一样,攻击行为的增多也增加了双因素身份验证可选方案的数量。
今天,有许多优秀的双因素身份验证解决方案既易于使用又非常有效地防止黑客入侵。许多都是免费的,包括 Google 身份验证器,它们的都被设计为一个便捷的智能手机应用程序。随着泄露风险的增加,处理客户数据的任何应用程序都应该受到双因素身份验证的保护,这比以往任何时候都更加重要。
4. 扫描您的网站
Web 扫描程序是检测上述 SQL 注入漏洞和 XSS 以及许多其他漏洞的重要工具。这些扫描程序提供的信息可用于评估电子商务网站的安全状况,为工程师提供有关如何修复代码级别漏洞或调整 WAF 以防范特定漏洞的建议。
但是,为了保持效果,企业需要定期使用它们。订阅定期扫描的服务非常重要 - 不是每三年才扫描一次。
5. 和你的“朋友”们保持亲密
根据 Ponemon 研究所的研究,第三方提供商 - 网站托管商,支付处理商,呼叫中心,粉碎机 - 可能对信息泄漏的可能性和范围产生重大影响。如果没有严格的,经过验证的安全措施,您可能就不会在一家银行里面存钱。如果没有部署安全措施,您就不应该信任该软件供应商。
在寻找新的提供商时,请确保他们符合支付卡行业的数据安全标准(PCI-DSS)和云安全认证 SSAE16 等安全最佳实践。不要害怕向云软件供应商询问他们如何管理安全性以及他们拥有哪些认证。如果他们没有,你应该三思而后行。
不要忽视这一点。无论产品有多好,如果这个软件会给您的业务带来风险,那就不值得采用。
今天,对于大型和小型企业来说,数据泄露的风险比以往任何时候都要大。但安全性不一定非常复杂。通过使用正确的工具,与合适的供应商合作并实施安全措施,在线业务可以降低风险并避免成为头条新闻。
ddos网站黑客网络安全安全ddos网站黑客网络安全安全